קלארוטי חשפה חולשת אבטחה חמורה בתוכנה תעשייתית של רוקוול אוטומציה

[בתמונה: PLC של Rockwell. מקור: Rockwell]

חוקרים של חברת הסייבר התעשייתי קלארוטי (Claroty) מתל אביב, חשפו חולשת אבטחה חמורה במנגנון אימות התקשורת בין בקרי PLC של חברת Rockwell Automation לבין תחנות ההנדסה שלהם.

חולשה זו, המשפיעה על סוגים רבים של בקרי Logix, עלולה לאפשר אפילו לתוקף בעל רמת מיומנות נמוכה, לעקוף את דרישת האימות ולהתחבר מרחוק כמעט לכל אחד מבקרי ה-Logix של רוקוול. החולשה זכתה לציון CVSS 10.0, הגבוה ביותר האפשרי.

החוקרים בצוות קלארוטי, שרון בריזינוב וטל קרן, אשר הובילו את המחקר, מסבירים כי חולשת האבטחה נעוצה בעובדה שתוכנת Studio 5000 Logix Designer של רוקוול אוטומציה, עלולה לאפשר את חשיפתו של מפתח הצפנה חסוי המשמש לאימות התקשורת בין בקרי Logix לתחנות ההנדסה שלהם. ניצול החולשה עלול לאפשר לתוקף לעקוף מרחוק את מנגנון האימות ולהתחבר מרחוק ישירות לבקרי Logix, שחלקם נמצאים בליבת תהליכי ייצור קריטיים.

רוקוול ממליצה על צעדי מנע

לאחר מכן התוקף יכול "לחקות" תחנת הנדסה לגיטימית ולפגוע במגוון דרכים בארגון, כמו למשל להעלות קוד זדוני לבקר, להוריד ממנו מידע, או להתקין קושחה חדשה ולשנות לחלוטין את ההגדרות שלו. תרחישים אלה עלולים לפגוע במגוון רחב של תהליכי ייצור המשתמשים בבקרי PLC, לרבות תהליכים המשלבים מנועים, משאבות, אורות, מאווררים, מפסקים וציוד מכני נוסף.

כדי לפתור את חולשת האבטחה החמורה, קלארוטי דיווחה עליה לחברת רוקוול אוטומציה אשר המליצה ללקוחותיה לבצע מספר צעדים כדי להקטין את הסיכון לפגיעה בבקרים ובתהליכי ייצור: ראשית, רוקוול ממליצה ללקוחותיה להשאיר את מתג ההפעלה של הבקרים על מצב "Run" וכן להשתמש בהגדרות CIP Security לתקשורת בין תוכנת Logix Designer לבקרים על מנת למנוע קשרים בלתי מורשים.

רוקוול ממליצה על מספר צעדים נוספים להקטנת החשיפה לחולשת האבטחה, החל בסגמנטציית רשת ובקרות אבטחה ראויות כגון צמצום מרבי של המערכות החשופות לרשת האינטרנט. מערכות שליטה ובקרה צריכות לקבל הגנה של פיירוול ולהיות מבודדות מרשתות חיצוניות ככול שניתן, ומומלץ להשתמש בפתרון מקצועי לאבטחת גישה מרחוק, או לכל הפחות VPN.

קלרוטי מספקת פתרונות הגנה על רשתות תקשורת תפעוליות (Operational Network) במתקני תשתית ובמפעלי תעשייה. מאז הקמתה החברה גייסה כ-100 מיליון דולר. בין לקוחותיה מצויים תאגידים תעשייתיים גדולים מאוד, בהם: סימנס, שניידר אלקטריק, רוקוול, NTT, מיצואי ועוד.

חולשות אבטחה מסכנות מאות-אלפי בקרים תעשייתיים בארץ ובעולם

בתמונה למעלה: אמיר פרמינגר, סמנכ"ל המחקר של קלארוטי. צילום:קרן מזור

מחלקת המחקר של חברת קלארוטי (Claroty) הישראלית חשפה חולשות אבטחה קריטיות באחת מהתוכנות הנפוצות בעולם המותקנת במערכות בקרה תעשייתיות (Industrial Control Systems- ICS). מדובר בתוכנת CodeMeter של חברת Wibu-Systems AG. התוכנה נועדה להגן על יצרני תוכנה מפני הונאה, הפצה פיראטית וביצוע מניפולציה בקוד קנייני. בין השאר, היא מבצעת הצפנה של התוכנות בבקר התעשייתי, כדי להגן עליו מפני התעסקות לא מורשית, הנדסה לאחור, פיראטיות ועוד.

התוכנה נמצאת במכונות ייצור ובמערכות בקרה קריטיות, שבהן היא מותקנת כרכיב צד שלישי בתוך התוכנה של היצרן המקורי. החוקרים שרון בריזינוב וטל קרן מצוות המחקר של קלארוטי, גילו את החולשות והעריכו שעשרות חברות ישראליות נחשפו לחולשות אבטחה האלה, מאחר והן עושות שימוש במערכות ICS שבהן מותקן CodeMeter. החולשות שהתגלו מאפשרות לעקוף את החתימות הדיגיטליות המגינות על המוצר ולשנות רישיונות קיימים או לזייף רישיונות תקפים.

איטיות מחרידה

רישיונות מזויפים אלה יכולים לשמש לביצוע תקיפות נוספות: משתילים אותם באתר הנמצא בשליטת התוקף ומפתים קורבנות להיכנס אליו באמצעות הנדסה חברתית. על-ידי כך "מזהמים" את המחשב שלהם, והוא מעביר את הזיהום הלאה, אל מתקן הייצור או הבקרה שמולו הוא עובד. כדי לסייע ללקוחות לדעת האם הם חשופים לפגיעות, קלארוטי העלתה לרשת כלי מקוון המספק חיווי מיידי אם ה-CodeMeter ברשות המשתמשים אכן פגיע. לביצוע הבדיקה הקליקו כאן: CodeMeter Vulnerability Tester.

כמקובל בתחום האבטחת הסייבר, הממצאים הועברו מיד לחברת Wibu-Systems, אולם שלא כמקובל בתעשייה, התגובה של יצרנית התוכנה היתה איטית להחריד: היא קיבלה את המידע בחודש פברואר 2019, ורק באוגוסט 2020 היא שחררה גרסת תוכנה (CodeMeter v7.10) הכוללת את כל התיקונים הנחוצים. גם בחברת קלארוטי הרימו גבות בתדהמה לנוכח האיטיות הזאת.

צילום מסך של חוקרי קלארוטי, המראה ניצול של אחת מהחולשות שהתגלו בתוכנת CodeMeter
צילום מסך של חוקרי קלארוטי, המראה ניצול של אחת מהחולשות שהתגלו בתוכנת CodeMeter

בראיון ל-Techtime הסביר סמנכ"ל המחקר של קלארוטי, אמיר פרמינגר, שרמת האבטחה של בקרים תעשייתיים היא ירודה ביותר, עד-כדי לא קיימת במקרים רבים. פרמינגר: "המצב בתעשייה רע מאוד. אנחנו מבצעים מחקרים רבים לאיתור חולשות, אבל במקרים רבים מתאר התקיפה כלל לא זקוק לזיהוי של חולשה, מכיוון שהבקרים פשוט לא מאובטחים". הבעיה, הוא מסביר, נובעת משתי סיבות מרכזיות: ההיסטוריה של תחום הבקרים התעשייתיים והמודעות הנמוכה של המשתמשים בתעשיית הייצור והבקרה.

הבקרים לא תוכננו לאינטרנט, אבל התחברו אליה

"הבקרים המיתכנתים התפתחו כמערכות פשוטות שהיו מקושרות אל המכונות או אל מרכזי פיקוד מקומיים בערוצים ייעודיים, כמו למשל ערוץ התקשורת הטורית RS-232 או בערוצים קנייניים של היצרנים. מכיוון שאלה מערכות סגורות שאינן מתחברות לרשת, ומכיוון שחלק גדול מהן מבוסס על מיקרו-בקרים פשוטים, לא הותקנו בהן אמצעי הגנה בסיסיים ביותר כמו למשל דרישת ססמא או הצפנת מידע. בשנים האחרונות התעשייה מאמצת את פרוטוקול האינטרנט (IP) כערוץ התקשורת המרכזי לכל היישומים, וכאן נוצרה בעיה חדשה: מערכות שאין להן תשתיות הגנה הולמות המקושרות אל תשתית האינטרנט".

לכך יש להוסיף מרכיבים נוספים: בקרים רבים מופיעים כשהם כבר משולבים בתוך המערכות ולכן המשתמשים לא תמיד מודעים לקיומם, לאופן שבו יש יש לטפל בהם ולעתים אפילו לעצם העובדה שהם מקושרים. "רוב הבקרים מהדור החדש מחוברים לרשת IP, אולם או שאין בהם אפילו דרישה להתקנת ססמא או שהמפעילים לא מודעים לצורך בהתקנת ססמא. קל מאוד לחדור אליהם, להפעיל את תוכנת הבקרה הנדסית ולהשיג שליטה בבקר המותקף".

כיצד אתם מספקים פתרון לבעיה הזו?

"אחד מהפתרונות שלנו, Continuous Threat Detection למשל, מבוסס על כך שאנחנו מקבלים מהלקוח את כל הנתונים העוברים במתג שלו. אנחנו מנתחים אותם ומזהים את כל הפרוטוקולים של ספקי הציוד השונים. המערכת מבצעת מיפוי מלא של כל רשתות הבקרה, כולל זיהוי הרכיבים ואיזה גרסאות תוכנה מותקנות בהן. בשלב הבא אנחנו משווים את הממצאים אל בסיס הנתונים שלנו ומזהים מה הן החולשות של כל אחד מהרכיבים וממליצים על אמצעי ההגנה הדרוש.

"לאחר מכן אנחנו מבצעים מעקב אחר התנועה ברשת של הלקוח, מנתחים אותה ומזהים פעילות לא שגרתית או לא צפויה של הבקר (Anomaly Detection), אשר מלמדת על פגיעה בו". חברת קלארוטי הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. עד היום היא גייסה כ-100 מיליון דולר ומעסיקה כיום כ-180 עובדים בעולם, יותר ממחציתם במרכז הפיתוח בתל אביב. בין המשקיעים האסטרטגיים בחברה, יצרני מכונות ומערכות בקרה תעשייתיות דוגמת סימנס, שניידר אלקטריק ורוקוול.

יניב ורדי מונה למנכ"ל Claroty

חברת קלרוטי (Claroty) מנחלת יצחק, שהוקמה בשנת 2015 על-ידי קבוצת Team8, מינתה את יניב ורדי למנכ"ל החדש של החברה. קלרוטי מספקת פתרונות הגנה על רשתות תקשורת תפעוליות (Operational Network) במתקני תשתית ובמפעלי תעשייה. מאז הקמתה החברה גייסה כ-100 מיליון דולר. בין לקוחותיה מצויים תאגידים תעשייתיים גדולים מאוד, בהם: סימנס, שניידר אלקטריק, רוקוול, NTT, מיצואי ועוד.

ורדי מגיע לחברה מהצד של הלקוחות: בארבע השנים האחרונות הוא שימש כמנהל תחום הפתרונות העסקיים של חברת שירותי האנרגיה הבריטית Centrica. לתפקיד הזה הוא הגיע לאחר מכירת חברת פנורמיק פאואר הישראלית לתאגיד Direct Energy, הנמצא בבעלות סנטריקה, ונחשב לאחד מתאגידי האנרגיה הגדולים בצפון אמריקה.

חברת פנורמיק פיתחה טכנולוגיית חישה ומערכת תוכנה המאפשרות לעקוב אחר רשת החשמל של הארגון כדי להשיג חיסכון באנרגיה ולגלות תקלות בשלבי ההתהוות. ורדי ניהל אותה במשך ארבע שנים עד למכירתה לדיירקט אנרג'י תמורת כ-60 מיליון דולר במזומן. "משבר הקורונה האיץ את תהליך הטרנספורמציה הדיגיטלית", אמר ורדי. "המפעלים מחפשים בית אחד (one-stop-shop) עבור כל צורכי ה-OT וה-IoT התעשייתי. קלרוטי היא החברה היחידה בתעשייה שמסוגלת לספק פלטפורמה כזו מקצה לקצה".